General
Não toque na cena do crime
Em palestra concorrida na 12ª edição do Fórum Internacional de Software Livre (Fisl), Luiz Vieira falou para desenvolvedores sobre sua metodologia de investigação de crimes tecnológicos – que inclui o desarme de bombas lógicas. Consultor de segurança da 4Linux, Vieira atua como perito forense. E também se realiza em outra vertente de investigação, como pen tester. Esse profissional é contratado para testar a segurança de uma empresa, descobrir suas vulnerabilidades e eliminá-las, antes que um cracker pense em fazê-lo. Na entrevista concedida após realizar palestra no Fisl, Vieira também se manifestou sobre as recentes investidas de crackers contra os sítios governamentais brasileiros. Confira.
O que é a análise forense?
O processo de análise forense pode ocorrer quando há uma invasão e investigamos o que aconteceu. Ou quando ocorre um crime no qual o instrumento é digital, seja um computador, Ipod, Smartphone, um cd com dados. Pode também ocorrer um ataque por negação de serviço, como o que recentemente ocorreu aqui no Brasil, ou um simples e-mail que contenha ameaças contra alguém que, atingido, deseje descobrir de onde o e-mail partiu. O processo de investigação reúne essas evidências e faz a análise desses indícios para que a gente possa ter pistas do que aconteceu e remontar esse cenário.
Quais os cuidados que se deve ter quando se chega à cena do crime?
O primeiro ponto é não alterar nada. A área deve ser isolada. Ninguém a não ser o perito pode ter acesso ao local. A partir daí catalogamos toda a cena do crime. Tiramos fotos em 360 graus para saber onde cada coisa estava e catalogamos essas evidências. Quando ocorrem crimes de outra natureza, por exemplo, um assassinato, sabemos que pode acontecer de existir um cadáver no chão e um repórter pedir ao policial que vire o rosto do morto para fazer uma foto. Isso é inaceitável nesse caso, e em se tratando de crimes digitais é o mesmo – tudo deve permanecer inalterado, cada fio, cada instalação, até a chegada do perito.
Por que é importante saber a localização de uma mídia?
Qualquer localização é importante para podermos concluir, por exemplo, “certo, aqui tem esse cabo de rede, e sei que estava conectado neste local, utilizando tal porta de switch, tal IP”. É fundamental para podermos identificar conexões de rede.
E quando se chega ao local do crime e há um computador ligado?
Se a máquina estiver ligada não se pode desligá-la antes de fazer a aquisição de dados voláteis. Se ela estiver desligada, não se pode ligá-la, porque pode possuir uma bomba lógica que vai apagar todos os dados importantes para a investigação. Em um processo de boot de Windows ele apagará toda a memória ram. Deve-se pegar o HD dessa máquina e colocá-la em outro computador, evitando dar o boot pelo computador apreendido e assim, tendo mais chances de recuperar informações que seriam perdidas se fosse utilizada a máquina recolhida.
Quais as principais diferenças entre analisar um computador com Linux ou Windows?
As arquiteturas são bem diferentes, as ferramentas utilizadas na análise também são diferentes. O Windows, por ter uma arquitetura já muito conhecida, analisada há muitos anos, possui ferramentas (de análise forense) mais práticas. Linux tem arquitetura mais complexa, o processo de análise também é mais trabalhoso. Para um investigador fazer uma análise, tem de entender daquela arquitetura específica. E a maior parte dos investigadores só conhece a arquitetura Windows. É até difícil encontrar pessoal com essa especialidade.
Então a pessoa que comete o delito também fica mais protegida utilizando Linux?
Sim, tanto que cito na palestra o exemplo de usar o PlayStation3 como plataforma instalando um Linux. O criminoso usa esse Playstation como um computador qualquer e efetuar os delitos daí. O investigador tem dificuldade em analisar a arquitetura do PlayStation3, aumentada pelo uso de Linux instalado. A análise de um computador com Linux chega a demorar duas ou até três vezes mais do que uma máquina com Windows.
Como se organiza uma investigação forense?
São quatro etapas: a coleta, aquisição de indícios nas mídias, computadores, tudo que seja considerado 'conteiner' de evidência. Depois há a fase do exame, na qual se filtra tudo o que seja importante para a investigação. Em seguida ocorre a análise dessas informações. A partir dela, remonta-se o cenário do que aconteceu para finalmente entrar na última fase, que consiste em gerar um relatório de perícia.
Que características diferenciam o trabalho de um profissional de tecnologia envolvido em investigação para fins jurídicos?
Temos que seguir alguns passos muito específicos para não alterar evidências. Se o advogado do réu, por exemplo, perceber ou alegar que alguma evidência foi alterada, ele terá todos os dispositivos legais para derrubar nosso processo investigativo. É preciso usar softwares que garantam a não alteração. E o perito forense tem que estar sempre amparado por um advogado para saber como escrever um relatório com todos os termos legais para apresentar em uma corte judicial. A grande questão é que não temos leis específicas que tipifiquem esse tipo de crime.Às vezes o processo pode ser derrubado por falta de legislação.
Que conjunto mínimo de ferramentas você elegeria se só pudesse levar umas poucas para uma investigação forense inesperada?
Eu levaria alguns toolkits, conjuntos de ferramentas, como por exemplo o TTK, que permite fazer toda a investigação utilizando uma interface gráfica em vez de linhas de comandos. WindTailor – kit de análise e obtenção de evidências em máquinas Windows e alguma distribuição específica como Cane. Com essas três ferramentas seria possível fazer uma investigação completa.
Qual é o estado de desenvolvimento da investigação forense?
Está em franco processo de desenvolvimento, com muita pesquisa porque ainda não existe um corpo de conhecimento técnico para padronizar a metodologia investigativa. O trabalho é baseado no bom-senso do investigador e em sugestões que alguns órgãos internacionais liberam para a comunidade. Mas ainda não há normas internacionais. Ainda somos um pouco órfãos nisso: cada um faz seu trabalho a partir do conhecimento empírico.
Em relação aos recentes ataques de negação de acesso perpetrados contra sítios do governo, o que já se sabe?
Temos certeza de que são rapazes com pouco conhecimento de segurança da informação, bastante desorganizados. A gente vê isso pela baixa complexidade dos ataques que eles realizaram. Alguns nem mesmo utilizaram proxy – o acesso de uma máquina a partir de uma ponte, quando um cracker utiliza uma máquina remota para fazer invasões.
Comunicação Social do Serpro - Porto Alegre, 30 de junho de 2011